มีเหตุผลใดที่จะไม่บังคับใช้ HTTPS ในเว็บไซต์หรือไม่

49

ในที่สุดเว็บไซต์ของฉันได้ตัดสินใจเปิดใช้งาน TLS ไปยังเซิร์ฟเวอร์ของพวกเขาบ่อยครั้งเพียงเพื่อไม่ให้เป็นเว็บไซต์จำนวนมาก ผู้ดูแลอ้างว่า TLS ต้องเป็นทางเลือก ทำไม?

ในเว็บไซต์ของฉันเองฉันได้ตั้งค่า TLS และ HSTS ที่ได้รับคำสั่งไว้เป็นระยะเวลานานและชุดรหัสตัวเลขที่อ่อนกว่านั้นถูกปิดใช้งาน การเข้าถึงแบบธรรมดารับประกันว่าจะได้รับการกำแพงด้วย HTTP 301 กับรุ่นที่ป้องกัน TLS สิ่งนี้มีผลต่อเว็บไซต์ของฉันในทางลบหรือไม่?

ssl  hsts 
Maxthon Chan
แหล่งที่มา
12
พวกเขาอาจกลัวว่า HSTS จะทำให้พวกเขามีปัญหาหากสิ่งใดผิดพลาด (เช่น CA ฟรีของพวกเขาหยุดการออกใบรับรองหรือถูกลบออกจากร้านค้าที่เชื่อถือได้ของเบราว์เซอร์เนื่องจากปัญหาบางอย่าง) ด้วยระบบนิเวศ TLS ปัจจุบันคุณสร้างการพึ่งพา CAs ที่เชื่อถือได้ / ผู้ขายเบราว์เซอร์ ขณะนี้มันยากที่จะหลีกเลี่ยงและให้ความคุ้มค่า แต่คุณยังคงเห็นว่านี่เป็นปัญหาและไม่บังคับใช้ HTTPS ในฐานะที่เป็นวิธีการแก้ปัญหาแบบแยกส่วนในกรณีที่มีบางอย่างเกิดขึ้น
อัลโล
ทุกคนต้องการพูดถึงความต้องการของ tls สำหรับ h2 ซึ่งเร็วกว่า http1.1 ดีสำหรับคุณที่ทำ hsts ฉันเพิ่งส่งไซต์ของฉันไปยังรายการโหลดล่วงหน้า hsts หวังว่าฉันจะสามารถปิดการใช้งานพอร์ต 80 ทั้งหมดได้ด้วยกัน
Jacob Evans
ดูสิ่งนี้: security.stackexchange.com/questions/53250/…
d33tah
4
@gerrit อาร์กิวเมนต์นี้ไม่ได้อยู่ต่อหน้าผู้ออกใบรับรองที่มีต้นทุนต่ำและฟรีอย่าง Let's Encrypt
Maxthon Chan
1
Let's Encrypt ใช้งานไม่ได้กับทุกโฮสต์และมันไม่ง่ายเหมือนการใช้โฮสต์ที่ดีกว่า ฉันใช้ App Engine ซึ่งไม่รองรับ (โดยตรง) ด้วยเหตุผลทางเทคนิค
คาร์ลสมิ ธ

คำตอบ:

8

มีเหตุผลที่ดีหลายประการในการใช้ TLS

(และมีเหตุผลเพียงเล็กน้อยที่ไม่ควรทำ)

  • หากไซต์นั้นมีการตรวจสอบสิทธิ์การใช้ HTTP จะเปิดเผยการขโมยเซสชันและรหัสผ่าน

  • แม้แต่ในเว็บไซต์ที่ให้ข้อมูลคงที่เท่านั้นการใช้ TLS ทำให้แน่ใจได้ว่าไม่มีใครแก้ไขข้อมูลได้

  • ตั้งแต่Google I / O 2014 Google ได้ดำเนินการหลายขั้นตอนเพื่อส่งเสริมให้ทุกไซต์ใช้ HTTPS:

  • บล็อก Mozilla การรักษาความปลอดภัยยังได้ประกาศการเลิกบุหรี่-Secure HTTPโดยการทำให้คุณสมบัติใหม่ทั้งหมดที่มีอยู่เท่านั้นที่จะรักษาความปลอดภัยของเว็บไซต์และค่อยๆยุติการเข้าถึงเบราว์เซอร์ให้บริการสำหรับเว็บไซต์ที่ไม่ปลอดภัยโดยเฉพาะอย่างยิ่งคุณลักษณะที่ก่อให้เกิดความเสี่ยงต่อความปลอดภัยของผู้ใช้และความเป็นส่วนตัว

นอกจากนี้ยังมีเหตุผลที่ดีหลายประการในการบังคับใช้ TLS

หากคุณมีใบรับรองที่เชื่อถือได้อยู่แล้วทำไมไม่ใช้มันตลอดเวลา เบราว์เซอร์ปัจจุบันทั้งหมดรองรับ TLS และติดตั้งใบรับรองหลักแล้ว ปัญหาความเข้ากันได้เดียวที่ฉันเคยเห็นในปีที่ผ่านมาเป็นอุปกรณ์ Android และหน่วยงานออกใบรับรองระดับกลางที่หายไปเนื่องจาก Android เชื่อใจ CA ที่รูทโดยตรงเท่านั้น สิ่งนี้สามารถป้องกันได้โดยการกำหนดค่าเซิร์ฟเวอร์เพื่อส่งสายใบรับรองกลับไปที่รูท CA

ถ้าผู้ดูแลของคุณยังคงต้องการที่จะช่วยให้การเชื่อมต่อ HTTP โดยไม่ต้องโดยตรง301 Moved Permanentlyกล่าวว่าในการตรวจสอบการเข้าถึงจากเบราว์เซอร์เก่าจริงๆบางส่วนหรืออุปกรณ์มือถือมีวิธีการที่เบราว์เซอร์ที่จะรู้ว่าคุณยังมีการกำหนดค่า HTTPS นอกจากนี้คุณไม่ควรปรับใช้HTTP Strict Transport Security (HSTS)โดยไม่ต้อง301 Moved Permanently:

7.2.  HTTP Request Type

   If an HSTS Host receives a HTTP request message over a non-secure
   transport, it SHOULD send a HTTP response message containing a status
   code indicating a permanent redirect, such as status code 301
   (Section 10.3.2 of [RFC2616]), and a Location header field value
   containing either the HTTP request's original Effective Request URI
   (see Section 9 "Constructing an Effective Request URI") altered as
   necessary to have a URI scheme of "https", or a URI generated
   according to local policy with a URI scheme of "https").

ปัญหาของไซต์ต่าง ๆ ที่กำหนดค่าสำหรับทั้งสองโปรโตคอลได้รับการยอมรับโดยTor ProjectและElectronic Frontier Foundationและแก้ไขโดย multibrowser HTTPS Everywhere extension:

เว็บไซต์จำนวนมากบนเว็บให้การสนับสนุนที่ จำกัด สำหรับการเข้ารหัสผ่าน HTTPS แต่ทำให้ใช้งานได้ยาก ตัวอย่างเช่นพวกเขาอาจตั้งค่าเริ่มต้นให้เป็น HTTP ที่ไม่ได้เข้ารหัสหรือกรอกหน้าเว็บที่เข้ารหัสด้วยลิงก์ที่กลับไปที่ไซต์ที่ไม่ได้เข้ารหัส

เนื้อหาที่หลากหลายยังเป็นปัญหาใหญ่เนื่องจากการโจมตี XSS ที่เป็นไปได้ในไซต์ HTTPS ผ่านการแก้ไข JavaScript หรือ CSS ที่โหลดผ่านการเชื่อมต่อ HTTP ที่ไม่ปลอดภัย ดังนั้นทุกวันนี้เบราว์เซอร์กระแสหลักเตือนผู้ใช้เกี่ยวกับหน้าเว็บที่มีเนื้อหาผสมและปฏิเสธที่จะโหลดโดยอัตโนมัติ สิ่งนี้ทำให้ยากต่อการดูแลเว็บไซต์โดยไม่มีการ301เปลี่ยนเส้นทางบน HTTP: คุณต้องให้แน่ใจว่าทุกหน้า HTTP จะโหลดเฉพาะ Contect HTTP (CSS, JS, ภาพ ฯลฯ ) และหน้า HTTPS ทุกโหลดเนื้อหา HTTPS เท่านั้น มันยากมากที่จะได้รับเนื้อหาเดียวกันทั้งสองอย่าง

Esa Jokinen
แหล่งที่มา
If your maintainer still would like to allow HTTP connections without direct 301 Moved Permanently, say for ensuring access from some really old browsers or mobile devices, HSTS is the correct choise as it only enforces HTTPS when it is clear that the browser supports itแต่ในกรณีนี้ไคลเอนต์ (แม้เข้ากันได้กับ HTTPS) จะไม่มีทางรู้ว่าเวอร์ชั่นของ HTTPS คือพวกเขาโหลด HTTP ในตอนแรก
คธูลู
ย่อหน้าสุดท้ายของคุณ: ส่วนหัว HSTS ถูกละเว้นในระหว่างการเชื่อมต่อที่ไม่ใช่ HTTPS
คธูลู
1
HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport. If an HTTP response is received over insecure transport, the UA MUST ignore any present STS header field(s). tools.ietf.org/id/draft-ietf-websec-strict-transport-sec-14.txt
Cthulhu
ขอบคุณที่ชี้นำคำแนะนำที่ผิดของฉันคธูลู! จากแรงบันดาลใจนั้นฉันได้ทำการปรับปรุงครั้งสำคัญสำหรับคำตอบของฉัน โปรดยินดีที่จะมีความสำคัญต่อเนื้อหาใหม่ :)
Esa Jokinen
62

ในยุคนี้ TLS + HSTS เป็นตัวบ่งชี้ว่าไซต์ของคุณได้รับการจัดการโดยมืออาชีพที่สามารถไว้วางใจได้ว่าพวกเขากำลังทำอะไรอยู่ นั่นเป็นมาตรฐานขั้นต่ำสำหรับความน่าเชื่อถือที่ปรากฏโดย Google ระบุว่าพวกเขาจะให้การจัดอันดับในเชิงบวกสำหรับเว็บไซต์ที่ทำเช่นนั้น

ในอีกด้านหนึ่งคือความเข้ากันได้สูงสุด ยังคงมีลูกค้าเก่าออกไปโดยเฉพาะในส่วนของโลกที่ไม่ใช่สหรัฐอเมริกายุโรปหรือจีน HTTP ธรรมดาจะทำงานได้ตลอดเวลา (แม้ว่าจะไม่ได้ผลดีเสมอไปนั่นเป็นอีกเรื่องหนึ่ง)

TLS + HSTS:ปรับให้เหมาะสมสำหรับการจัดอันดับของเครื่องมือค้นหา
HTTP ธรรมดา:ปรับให้เข้ากันได้

ขึ้นอยู่กับว่าอะไรสำคัญกว่าสำหรับคุณ

sysadmin1138
แหล่งที่มา
16
บางทีฉันอาจจะเป็นคนจู้จี้จุกจิก แต่ประโยคแรกนั้นดูค่อนข้างยืดเยื้อ: ไซต์ที่เป็น https ไม่ได้บอกอะไรเกี่ยวกับความเป็นมืออาชีพหรือความน่าเชื่อถือของผู้คนที่รับผิดชอบ ไซต์สามารถเป็น https และยังคงได้รับการพัฒนา / จัดการโดยผู้ที่ไม่ฆ่าเชื้ออินพุตทำให้ไซต์มีความเสี่ยงต่อการฉีด SQL หรือ XSS หรืออาจเป็น https และไม่ถูกต้องไม่สามารถเข้าถึงได้หรือไม่สามารถใช้งานได้
Alvaro Montoro
34
การใช้ HTTPS ไม่ได้รับประกันความเป็นมืออาชีพ แต่การขาดสิ่งนี้จะบอกสิ่งที่ตรงกันข้ามอย่างแน่นอน
Esa Jokinen
8
การใช้ TLS และ HSTS เป็นสัญญาณซึ่งเป็นส่วนหนึ่งของอาเรย์ที่มีขนาดใหญ่กว่าซึ่งเว็บไซต์อาจมีมูลค่าในการอ่าน ไม่เหมือนคนอื่น ๆมันง่ายที่จะทดสอบว่ามีอยู่หรือไม่นั่นคือเหตุผลว่าทำไม Google จึงใช้มันเป็นพร็อกซีสำหรับส่วนที่เหลือ
sysadmin1138
3
@Braiam Stack Exchange กำลังย้ายไปยัง https เท่านั้นและจะเริ่มใช้ hsts ในไม่ช้า Http ยังคงมีอยู่ไม่ใช่เพราะความเข้ากันได้ แต่เป็นเพราะพวกมันช้าและระวังและเป็นเรื่องยากที่จะโยกย้ายทางเทคนิค
captncraig
4
@esajohnson - การขาด https ไม่แสดงถึงความเป็นมืออาชีพ มันแสดงให้เห็นว่าไม่มี "ความต้องการ" สำหรับมัน ตัวอย่างเช่นมิเรอร์ CentOS
วอร์เรน
30

มีเหตุผลหนึ่งที่ดีสำหรับเว็บไซต์แบบอ่านอย่างเดียวอย่างง่ายที่จะไม่ใช้ HTTPS

  • แคชบนเว็บไม่สามารถแคชรูปภาพที่ส่งผ่าน HTTPS
  • บางส่วนของโลกมีการเชื่อมต่อระหว่างประเทศความเร็วต่ำมากดังนั้นขึ้นอยู่กับแคช
  • การโฮสต์รูปภาพจากโดเมนอื่นจะต้องใช้ทักษะที่คุณไม่สามารถคาดหวังจากผู้ให้บริการสำหรับเว็บไซต์ขนาดเล็กที่มีเฉพาะอ่าน
Ian Ringrose
แหล่งที่มา
1
เนื้อหาแบบอ่านอย่างเดียวสามารถปรับใช้กับ CDN ได้หากคุณกำหนดเป้าหมายประเทศเหล่านั้น CDN ทำหน้าที่สะท้อนเนื้อหาคงที่โดยใช้วิธีการของตนเองและยังคงให้บริการผ่าน HTTPS CDN นั้นหาง่ายพอสมควรและสำหรับเว็บไซต์เล็ก ๆ ที่ไม่แพง
Maxthon Chan
8
@ MaxthonChan ลองอธิบายกับแม่ของฉันว่า CDN คืออะไร ..... แต่เธออาจติดตั้งเว็บไซต์พร้อมเวลาที่คริสตจักรท้องถิ่นให้บริการ
Ian Ringrose
6
@MichaelHampton วิธีการที่แคชสามารถอ่านภาพจากกระแส HTTPS โดยไม่ต้องมีปุ่มคำอธิบาย? และคุณจะเชื่อถือ ISP ด้วยกุญแจของคุณหรือไม่?
Ian Ringrose
8
คุณควรทำให้ชัดเจนยิ่งขึ้นว่าคุณกำลังพูดถึงแคชอะไร
Michael Hampton
2
@IanRingrose หากแม่ของคุณตั้งค่าเว็บไซต์พร้อมข้อมูลบริการโบสถ์ท้องถิ่นมันไม่น่าเป็นไปได้ที่พฤติกรรมแคชในการเชื่อมต่อระหว่างประเทศจะเข้ามาเล่นเว้นแต่จะเป็นโบสถ์ที่ได้รับความนิยมมาก
Jason C
14

ผู้ดูแลอ้างว่า TLS ต้องเป็นทางเลือก ทำไม?

หากต้องการทราบคำตอบของคำถามนี้อย่างแท้จริงคุณต้องถามพวกเขา อย่างไรก็ตามเราสามารถคาดเดาได้บ้าง

ในสภาพแวดล้อมขององค์กรเป็นเรื่องปกติที่ไอทีจะติดตั้งไฟร์วอลล์ที่ตรวจสอบปริมาณข้อมูลที่เข้าและออกจากมัลแวร์กิจกรรมที่คล้าย CnC ที่น่าสงสัยเนื้อหาที่ถือว่าไม่เหมาะสมสำหรับการทำงาน (เช่นภาพอนาจาร) และอื่น ๆ มีสามคำตอบที่เป็นไปได้:

  1. ยอมแพ้ในการตรวจสอบการรับส่งข้อมูลนี้
  2. ติดตั้ง root CA บนเครื่องของผู้ใช้เพื่อให้คุณสามารถทำการถอดรหัสและตรวจสอบ MitM
  3. บล็อกการจราจรขายส่งเข้ารหัส

สำหรับดูแลระบบที่เกี่ยวข้องไม่มีตัวเลือกเหล่านี้ดึงดูดความสนใจเป็นพิเศษ มีภัยคุกคามจำนวนมากที่โจมตีเครือข่ายขององค์กรและเป็นหน้าที่ของพวกเขาในการปกป้อง บริษัท จากพวกเขา อย่างไรก็ตามการปิดกั้นเว็บไซต์จำนวนมากทำให้เกิดความโกรธแค้นของผู้ใช้ทั้งหมดและการติดตั้งรูท CA จะทำให้คุณรู้สึกแย่เพราะแนะนำความเป็นส่วนตัวและความปลอดภัยสำหรับผู้ใช้ ฉันจำได้ว่าเห็น (ขออภัยไม่สามารถหาเธรดได้) การขอร้องดูแลระบบเมื่อพวกเขาเปิด HSTS ครั้งแรกเพราะเขาอยู่ในสถานการณ์เช่นนี้และไม่ต้องการที่จะปิดกั้น Reddit ทั้งหมดเพียงเพราะเขาถูกบังคับโดยธุรกิจ เพื่อบล็อก subreddits ที่เน้นภาพอนาจาร

วงล้อแห่งเทคโนโลยีกำลังปั่นป่วนไปข้างหน้าและคุณจะพบว่ามีหลายคนที่ให้เหตุผลว่าการป้องกันประเภทนี้ล้าสมัยและควรจะยุติลง แต่ยังมีอีกหลายคนที่ฝึกฝนและอาจเป็นพวกเขาที่ผู้ดูแลลึกลับของคุณเกี่ยวข้อง

Xiong Chiamiov
แหล่งที่มา
วิธีการยกเลิก ssl ที่เซิร์ฟเวอร์ frontend / load balancer / ที่คล้ายกันและการบันทึกปริมาณข้อมูลหลังจากนั้น
eis
1
@eis นั่นถือว่า บริษัท ควบคุมทุกเว็บไซต์ที่พนักงานอาจเข้าชมซึ่งไม่น่าเป็นไปได้ โพสต์ดูเหมือนจะไม่เกี่ยวกับ TLS บนเว็บไซต์อินทราเน็ต
Xiong Chiamiov
5

ทุกอย่างมาจากข้อกำหนดด้านความปลอดภัยการเลือกของผู้ใช้และความเสี่ยงของการลดระดับโดยนัย การปิดใช้งานฝั่งเซิร์ฟเวอร์ ciphers เก่าเป็นสิ่งที่จำเป็นอย่างยิ่งเพราะเบราว์เซอร์จะตกหลุมรักไซปาเทรชฝั่งไคลเอ็นต์ในชื่อประสบการณ์ผู้ใช้ / ความสะดวกสบายอย่างน่ากลัว การทำให้แน่ใจว่าไม่มีสิ่งใดของคุณที่ขึ้นอยู่กับช่องทางที่ปลอดภัยสำหรับผู้ใช้ที่ไม่สามารถเข้าถึงได้ด้วยวิธีการที่ไม่ปลอดภัยคือแน่นอนว่าเสียงดีมาก

ไม่อนุญาตให้ฉันปรับลดรุ่นอย่างชัดเจนเพื่อความปลอดภัย HTTP เมื่อฉันถือว่าบล็อกของคุณโพสต์เกี่ยวกับสาเหตุที่คุณชอบ Python มากกว่า Ruby (ไม่ได้บอกว่าคุณเป็นแค่ตัวอย่างทั่วไป) ไม่ใช่สิ่งที่ฉันคิดว่าเป็นเรื่องตลก ฉันเข้าถึงเป็นเพียงการได้รับในทางของฉันโดยไม่มีเหตุผลที่ดีบนสมมติฐานว่า HTTPS จะเป็นเรื่องเล็กน้อยสำหรับฉัน

มีอยู่ทุกวันนี้ระบบฝังตัวที่ไม่มีความสามารถในการใช้ TLS นอกกรอบหรือระบบที่ติดอยู่กับการใช้งานแบบเก่า (ฉันคิดว่ามันแย่มากที่เป็นเช่นนั้น อุปกรณ์ที่นี่] บางครั้งฉันไม่สามารถเปลี่ยนแปลงได้)

นี่คือการทดลองที่สนุก: ลองดาวน์โหลด LibreSSL เวอร์ชันล่าสุดจากไซต์ OpenBSD อัปสตรีมผ่าน HTTPS ด้วยการใช้ TLS / SSL แบบเก่าอย่างเพียงพอ คุณจะไม่สามารถ ฉันลองอีกวันหนึ่งบนอุปกรณ์ที่มีรุ่นเก่าของ OpenSSL ตั้งแต่ปี 2012 เพราะฉันต้องการอัพเกรดระบบฝังตัวนี้เป็นสิ่งใหม่ที่ปลอดภัยยิ่งขึ้นจากแหล่งที่มา - ฉันไม่มีแพ็คเกจหรูหราที่สร้างไว้ล่วงหน้า ข้อความแสดงข้อผิดพลาดเมื่อฉันพยายามไม่เข้าใจง่าย แต่ฉันคิดว่าเป็นเพราะ OpenSSL รุ่นเก่าของฉันไม่รองรับสิ่งที่ถูกต้อง

นี่คือตัวอย่างหนึ่งที่การย้าย HTTPS เพียงอย่างเดียวสามารถทำให้ผู้คนเสียหายได้จริง: ถ้าคุณไม่มีแพ็คเกจหรูหราที่สร้างไว้แล้วและต้องการแก้ไขปัญหาด้วยตัวคุณเองโดยการสร้างจากแหล่งที่มาคุณจะถูกล็อค โชคดีที่ในกรณี LibreSSL คุณสามารถถอยกลับเพื่อขอ HTTP อย่างชัดเจน แน่นอนว่าสิ่งนี้จะไม่บันทึกคุณจากผู้โจมตีที่เขียนทราฟฟิกของคุณใหม่สามารถแทนที่แพ็คเกจต้นทางด้วยเวอร์ชันที่ถูกบุกรุกและเขียน checksums ทั้งหมดในเนื้อหา HTTP ที่อธิบายแพคเกจที่มีให้ดาวน์โหลดบนเว็บเพจที่คุณเรียกดู กรณีทั่วไปมากขึ้น

พวกเราส่วนใหญ่ไม่ใช่คนที่ไม่มีหลักประกันดาวน์โหลดจากการเป็นเจ้าของโดย APT (Advanced Persistent Thread: ศัพท์แสงด้านความปลอดภัยสำหรับหน่วยข่าวกรองแห่งชาติและภัยคุกคามทางไซเบอร์อื่น ๆ ที่มีทรัพยากรสูงมาก) บางครั้งฉันต้องการwgetเอกสารข้อความธรรมดาหรือโปรแกรมขนาดเล็กที่มีแหล่งที่มาฉันสามารถตรวจสอบได้อย่างรวดเร็ว (เช่นอรรถประโยชน์ / สคริปต์เล็ก ๆ ของฉันใน GitHub เป็นต้น) ไปยังกล่องที่ไม่รองรับชุดรหัสล่าสุด

โดยส่วนตัวแล้วฉันถามสิ่งนี้: เนื้อหาของคุณเป็นแบบที่คน ๆ หนึ่งสามารถตัดสินใจได้ถูกต้องตามกฎหมายหรือไม่ "ฉันโอเคกับฉันที่จะเข้าถึงความรู้สาธารณะ" มีโอกาสที่จะเกิดความเสี่ยงจริงกับคนที่ไม่ใช่ด้านเทคนิคโดยการลดระดับลงเป็น HTTP สำหรับเนื้อหาของคุณหรือไม่ น้ำหนักข้อกำหนดด้านความปลอดภัยข้อกำหนดความเป็นส่วนตัวสำหรับผู้ใช้ของคุณและความเสี่ยงของการลดระดับโดยนัยต่อความสามารถของผู้ใช้ที่เข้าใจความเสี่ยงทำให้เป็นทางเลือกที่ได้รับการบอกกล่าวเป็นกรณี ๆ ไปเพื่อไม่ปลอดภัย เป็นเรื่องถูกต้องตามกฎหมายที่จะกล่าวว่าสำหรับเว็บไซต์ของคุณไม่มีเหตุผลที่ดีที่จะไม่บังคับใช้ HTTPS แต่ฉันคิดว่ามันยุติธรรมที่จะกล่าวว่ายังมีกรณีการใช้งานที่ดีสำหรับ HTTP ธรรมดาอยู่ที่นั่น

mtraceur
แหล่งที่มา
1
"ลองดาวน์โหลด LibreSSL เวอร์ชันล่าสุดจากไซต์ OpenBSD อัปสตรีมบน HTTPS ด้วยการใช้ TLS / SSL แบบเก่าอย่างเพียงพอ"สิ่งที่พลิกผันของหลักสูตรนี้คือ: ลองดาวน์โหลดเบราว์เซอร์รุ่นล่าสุดด้วยเบราว์เซอร์ที่เก่าแก่เพียงพอตัวอย่างเช่น HTTP / 1.0 โดยไม่รองรับHost:ส่วนหัว หรือลองท่องเว็บไซต์ที่ทันสมัยด้วยเว็บเบราว์เซอร์ที่รองรับเฉพาะจาวาสคริปต์ของปี 2001 ในบางจุดที่เราในฐานะชุมชนจำเป็นต้องดำเนินการต่อไป คำถามก็จะกลายเป็นมูลค่าเพิ่มที่คุ้มค่าต่อการแตกหรือไม่
CVn
@ MichaelKjörlingเหล่านั้นเป็นปัญหาของความรุนแรงที่แตกต่างกันไป ฉันจะเพิ่มการสร้างเวอร์ชันคอมไพเลอร์ล่าสุดในรายการนั้น บางคนป้องกันได้ดีกว่าคนอื่น ฉันไม่แน่ใจว่าคุณยืนยันความไม่เห็นด้วยหรือเพราะคุณ: ในประโยคที่สองของโพสต์ของฉันฉันยอมรับว่ามีเหตุผลที่จะป้องกันยันต์เก่าบนการเชื่อมต่อ HTTPS เนื่องจากมันช่วยปกป้องผู้ใช้ส่วนใหญ่จากการโจมตีที่ลดระดับ d ไม่เช่นนั้นไม่มีทัศนวิสัยที่มีความหมายหรือป้องกัน (ผมไม่คิดว่าเว็บไซต์ที่ทันสมัยที่สุดล้มเหลวในการได้อย่างสง่างามลดลงเป็นระยะไกลเป็นธรรม แต่ที่บอกข้างจุด.)
mtraceur
@ MichaelKjörlingชี้แจงว่าประเด็นที่นำเสนอนั้นเป็นเพราะตัวอย่างของการให้ HTTP ธรรมดาแก่ผู้ใช้มีประโยชน์ชัดเจนซึ่งเป็นประเด็นหลักของคำถามที่ตอบ มันไม่มีทางที่จะสร้างแสงด้านลบให้กับโครงการ OpenBSD / LibreSSL ซึ่งฉันนับถืออย่างมาก ฉันคิดว่าประโยคที่สองของวรรคแรกจะตัดการตีความเชิงลบออกไป หากคุณคิดว่าไม่ชัดเจนหรือพูดได้ดีขึ้นโปรดแก้ไขคำตอบของฉันหรือเสนอแนะการปรับปรุง
mtraceur
3

มีการถกเถียงกันมากมายที่นี่ว่าทำไม tls ถึงดี - แต่นั่นไม่เคยถูกถามเหมือนในโพสต์ดั้งเดิม

Maxthon ถาม 2 คำถาม:

1) เพราะเหตุใดจึงมีไซต์แบบสุ่มและไม่มีชื่อตัดสินใจที่จะคงการแสดงตนทั้ง http และ https ไว้

2) มีผลกระทบด้านลบต่อ Maxthon หรือไม่ที่แสดงการตอบสนองต่อคำขอ HTTP เพียง 301 ครั้งเท่านั้น

เกี่ยวกับคำถามแรกเราไม่ทราบว่าเพราะเหตุใดผู้ให้บริการจึงเลือกที่จะเก็บทั้งเว็บไซต์ http และ https อาจมีเหตุผลมากมาย นอกเหนือจากประเด็นเกี่ยวกับความเข้ากันได้การแคชแบบกระจายและคำแนะนำบางประการเกี่ยวกับความสามารถในการเข้าถึงข้อมูลทางภูมิศาสตร์ยังมีการพิจารณาเกี่ยวกับการรวมเนื้อหาและหลีกเลี่ยงข้อความเบราว์เซอร์ที่น่าเกลียดเกี่ยวกับเนื้อหาที่ไม่ปลอดภัย ดังที่ Alvaro ชี้ให้เห็น TLS เป็นเพียงส่วนเล็ก ๆ ของภูเขาน้ำแข็งที่เกี่ยวข้องกับความปลอดภัย

อย่างไรก็ตามคำถามที่สองสามารถตอบได้ การเปิดเผยส่วนใดส่วนหนึ่งของเว็บไซต์ของคุณในเว็บไซต์ของคุณผ่านทาง http เมื่อจริง ๆ แล้วมันต้องการ https สำหรับการดำเนินงานที่ปลอดภัยให้เวกเตอร์ที่ใช้ประโยชน์ได้สำหรับการโจมตี อย่างไรก็ตามการรักษาสิ่งนี้ให้เหมาะสมเพื่อระบุว่าการรับส่งข้อมูลถูกส่งไปยังพอร์ต 80 บนเว็บไซต์ของคุณไม่ถูกต้องและแก้ไขสาเหตุอย่างไร เช่นมีทั้งผลกระทบด้านลบและโอกาสในการสร้างผลกระทบเชิงบวกผลสุทธิขึ้นอยู่กับว่าคุณทำงานของคุณในฐานะผู้ดูแลระบบหรือไม่

Sysadmin1138 กล่าวว่า https มีผลต่อการจัดอันดับ seo ในขณะที่ Google ได้ระบุว่ามันส่งผลกระทบต่อการจัดอันดับการศึกษาที่เชื่อถือได้เท่านั้นที่ฉันได้เห็นแนะนำให้เห็นถึงความแตกต่างนั้นมีขนาดเล็ก สิ่งนี้ไม่ได้รับความช่วยเหลือจากผู้ที่ควรรู้ดีกว่าโดยอ้างว่าเนื่องจากเว็บไซต์อันดับสูงสุดมีแนวโน้มที่จะมีสถานะ https ดังนั้นสถานะ https จึงช่วยปรับปรุงการจัดอันดับ

symcbean
แหล่งที่มา
1

ก่อนหน้านี้ฉันต้องใช้ HTTP แทน HTTPS เพราะฉันต้องการไปยัง<embed>หน้าอื่น ๆ ที่ให้บริการผ่าน HTTP และพวกเขาจะไม่ทำงานอย่างอื่น

Algy Taylor
แหล่งที่มา
คุณสามารถใช้เซิร์ฟเวอร์ของคุณเพื่อย้อนกลับรุ่น SSL'd ของพร็อกซี
Maxthon Chan
1

นี่ไม่ใช่เหตุผลที่ดีเนื่องจากหมายความว่าคุณมีลูกค้าที่ไม่ดี / ไม่ดี / ไม่ปลอดภัย แต่ถ้ามีกระบวนการอัตโนมัติเข้าถึงทรัพยากรผ่านhttp://URL ที่มีอยู่อาจเป็นไปได้ว่าบางคนไม่สนับสนุน https (เช่นbusybox wget ซึ่งไม่ได้ ไม่มีการสนับสนุน TLS ภายในและเพิ่มได้เร็ว ๆ นี้ผ่านกระบวนการลูก openssl) และจะแตกถ้าพวกเขาได้รับการเปลี่ยนเส้นทางไปยัง URL URL ที่ไม่สามารถติดตามได้

ฉันจะถูกล่อลวงให้จัดการกับความเป็นไปได้นี้โดยการเขียนกฎการเปลี่ยนเส้นทางเพื่อแยกสายอักขระตัวแทนผู้ใช้ที่ไม่รู้จัก (หรือที่รู้จักกันมาก่อน) จากการถูกเปลี่ยนเส้นทางและอนุญาตให้พวกเขาเข้าถึงเนื้อหาผ่านทาง http ถ้าพวกเขาต้องการ บังคับให้ https / hsts

R ..
แหล่งที่มา
1
เตือนฉันเมื่อสองสามทศวรรษที่แล้วว่าเครื่องมือที่ได้รับการดูแลเป็นอย่างดี (เช่น wget) ไม่สนับสนุน HTTPS
Oleg V. Volkov
@ OlegV.Volkov: ฉันคิดว่าคุณพลาดคำว่า busybox ในคำตอบของฉัน
. ..
ตรวจสอบออก - ดีตอนนี้ฉันเห็น ฉันไม่เข้าใจจริงๆว่าทำไมไม่สามารถสร้างสิ่งที่น่ารังเกียจและไม่ทำเครื่องมือสร้างแพ็คเกจ แต่อย่างใด เมื่อนึกย้อนกลับไปฉันยังจำได้อีกหลายกรณีเมื่อผู้คนถูก จำกัด ให้ใช้เครื่องมือถอดหรือล้าสมัยและจะดีถ้ามี HTTP แบบธรรมดา คุณช่วยแก้ไขตัวพิมพ์ใหญ่ได้ไหมเพื่อที่ฉันจะได้กลับไปลงคะแนนหลังจากการแก้ไขด้วย
Oleg V. Volkov
1

มีเหตุผลที่ดีเพียงเล็กน้อยในการใช้ HTTP แทน HTTPS บนเว็บไซต์ หากเว็บไซต์ของคุณจัดการธุรกรรมใด ๆ หรือจัดเก็บข้อมูลที่ละเอียดอ่อนหรือข้อมูลส่วนบุคคลใด ๆ คุณต้องใช้ HTTPS อย่างแน่นอนหากคุณต้องการให้ข้อมูลดังกล่าวปลอดภัย เหตุผลที่ดีเพียงอย่างเดียวที่ฉันเห็นว่าไม่บังคับใช้ HTTPS ก็คือหากเว็บไซต์ของคุณใช้แคชเนื่องจาก HTTPS ไม่ทำงานกับการแคช อย่างไรก็ตามมันมักจะคุ้มค่าเสียสละประสิทธิภาพเล็กน้อยเพื่อความปลอดภัยของเว็บไซต์ของคุณ อาจเป็นไปได้ว่าลูกค้าของคุณอาจไม่รองรับ HTTPS แต่จริงๆแล้วในปี 2560 พวกเขาควรทำ

เคน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.